Mitte Februar 2023 hat die Europäische Kommission die bei ihr angemeldete Gründung des Gemeinschaftsunternehmens TrustPID durch die Deutsche Telekom AG, die Orange SA, die Telefónica S.A. und die Vodafone Group plc ohne Auflagen genehmigt. Das gemeinsame Unternehmen wird wohl unter dem Namen Utiq aktiv werden.

Wie funktioniert TrustPID?

Publisher können beim Aufruf einer App oder Webseite ihre Nutzerinnen und Nutzer um Einwilligung in die Verwendung von TrustPID bitten. Wenn der Nutzer einwilligt, überträgt TrustPID die IP-Adresse an den verwendeten (Mobilfunk-)Netzbetreiber. Dort wird die Nutzer-IP-Adresse dem Vertragsverhältnis von Netzbetreiber und Nutzer zugeordnet. Der Netzbetreiber  erstellt  dann die eindeutige, pseudonyme Netzwerkkennung für TrustPID. TrustPID nutzt die pseudonyme Kennung dann, um spezifische pseudonyme Kennungen für die einzelnen Publisher zu generieren.

Diese Kennungen erlauben es im Ergebnis den einzelnen Publishern, Nutzerinnen und Nutzer wiederzuerkennen und ggf. so ein Tracking bzw. Targeting für Online-Werbung umzusetzen.

Wettbewerbsrechtliche Bedenken ergaben sich aus der Prüfung von Utiq durch die Europäischen Kommission nicht. Die Kommission stellte u.a. fest, dass auch neben TrustPID ausreichend alternative Anbieter existieren, die Identifizierungsdienste als Vorleistung für digitale Werbetätigkeiten erbringen. Ferner wäre TrustPID nach Ansicht der Kommission nicht in der Lage, konkurrierende Anbieter digitaler Identifizierungsdienste vom Markt auszuschließen. Datenschutzpolitisch hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit geäußert, den Dienst „durchaus zwiespältig“ zu sehen. Aus seiner Sicht sei u.a. die „besondere Vertrauensstellung“, welche den Telekommunikationsanbietern zukomme, „nur schwer mit einem Tracking ihrer Nutzerinnen und Nutzer vereinbar“.

Mit Wirkung zum 15. Mai 2023 wurde der Testbetrieb von TrustPID in Deutschland beendet. Informationen zum kommerziellen Start des Konzeptes wird das Joint Venture „Utiq“ mit Sitz in Brüssel/Belgien bekannt gegeben. Als Demand-Side-Plattform-Partner hat sich Utiq das Unternehmen Adform ausgesucht.

Wenn einer der Gründer von Shopify der Meinung ist, dass es etwas zu sehen gibt, könnte es vielleicht eine gute Idee sein, einen Blick darauf zu werfen. Tobi Lutke sollte doch wissen, was wohl so demnächst wichtig wird im Bereich Identity Management. Und siehe da: rechtzeitig zum Start von Google Analytics 4 stellt Google gemeinsam mit den beiden Browser-Konkurrenten Apple Safari und Microsoft Edge auf das neue Auth-Verfahren Passkey um.

Hier https://youtu.be/SWocv4BhCNg kann man sehen, wie das aus Nutzerperspektive funktioniert.

Was ist Passkey?

A passkey is a new way to sign in that works completely without passwords. By using the security capabilities of your devices like Touch ID and Face ID, passkeys are way more secure and are easier to use than both passwords and all current 2-factor authentication (2FA) methods.

Wie funktioniert Passkey?

Die FIDO-Protokolle verwenden standardmäßige Verschlüsselungstechniken für öffentliche Schlüssel, um eine stärkere Authentifizierung zu ermöglichen. Bei der Registrierung bei einem Online-Dienst erstellt das Client-Gerät des Benutzers (Browser, Telefon, Desktop) ein neues Schlüsselpaar. Es behält den privaten Schlüssel und registriert den öffentlichen Schlüssel bei dem Online-Dienst. Die Authentifizierung erfolgt, indem das Client-Gerät dem Dienst den Besitz des privaten Schlüssels durch Unterzeichnung einer Anfrage nachweist. Die privaten Schlüssel des Kunden können erst verwendet werden, nachdem sie vom Benutzer lokal auf dem Gerät freigeschaltet wurden. Die lokale Entsperrung erfolgt durch eine benutzerfreundliche und sichere Aktion, wie z. B. das Streichen mit dem Finger, die Eingabe einer PIN, das Sprechen in ein Mikrofon, das Einsetzen eines Zweitfaktors oder das Drücken einer Taste.

Die FIDO-Protokolle sind von Grund auf so konzipiert, dass sie die Privatsphäre der Nutzer schützen. Die Protokolle stellen keine Informationen zur Verfügung, die von unterschiedlichen Online-Diensten verwendet werden können. Damit wird es erstmal deutlich schwieriger einen Nutzer entlang der Customer Journey zu verfolgen. Biometrische Informationen verlassen, wenn sie verwendet werden, niemals das Gerät des Benutzers.

Der WebAuth-Standard ermöglicht es Webentwicklern mit Hilfe eines WebAuthn-kompatiblen Webbrowsers auf einen Authentikator zuzugreifen und sicheren und einfachen seine Dienste zu nutzen.

Was steckt hinter Passkeys?

Passkeys sind eine gemeinsame Initiative der FIDO-Allianz und des W3C. Die schlagen ja immer mal etwas vor.  Aber, dass die drei Browser/Device-Giganten Apple, Google und Microsoft sich jetzt gemeinsam auf dieses Authentisierungsverfahren einigen, ist schon einigermaßen wichtig.  Die drei wollen nach eigenen Angaben die Verbraucherfreundlichkeit der Unternehmenssicherheitsstandards FIDO (Fast IDentity Online) und WebAuthn zusammenbringen. Passkeys machen die bewährte Web-API WebAuthn in Verbraucherszenarien wie E-Commerce, Banking und Social Media sowie in Prosumer-Fällen wie SaaS nutzbar.

Mit FIDO2 und WebAuthn haben sich viele Unternehmen zusammengeschlossen, um eine Lösung für das Problem der gemeinsamen Passwörter zu finden. FIDO2 befasst sich mit allen Problemen, die bei der herkömmlichen Authentifizierung auftreten: Sicherheit, Bequemlichkeit, Datenschutz, Skalierbarkeit.

Sicherheit: Die kryptografischen Anmeldedaten von FIDO2 sind auf jeder Website eindeutig. Biometrische Daten oder andere Geheimnisse wie Passwörter verlassen nie das Gerät des Benutzers und werden nie auf einem Server gespeichert. Dieses Sicherheitsmodell eliminiert die Risiken von Phishing, allen Formen des Passwortdiebstahls und Replay-Angriffen.

Bequemlichkeit: Die Benutzer melden sich mit bequemen Methoden wie Fingerabdrucklesern, Kameras, FIDO-Sicherheitsschlüsseln oder ihrem persönlichen Mobilgerät an.

Datenschutz: Da FIDO-Schlüssel für jede Website eindeutig sind, können sie nicht dazu verwendet werden, Sie auf verschiedenen Websites zu verfolgen.

Skalierbarkeit: Webseiten (also Anbieter von Diensten) können FIDO2 über einen einfachen API-Aufruf in allen unterstützten Browsern und Plattformen auf Milliarden von Geräten aktivieren, die Verbraucher täglich nutzen.

Und damit hätten wir auch die wichtigsten Antworten auf die Fragen "Warum dies? Warum jetzt?": User Tracking scheint mit diesem Authentisierungsverfahren nicht möglich, es ist also kein Third-Party-Cookie unter anderem Namen.

Erste Erkenntnis: Wegen Datenschutzgesetzgebung verschwindet Werbung nicht aus der Welt. (Tata!). Aber wie diese neue Welt aussieht, wenn die klassische Tracking-Infrastruktur für die großen Marken nicht mehr funktioniert? Wer es ganz genau weiß, kann sich gern melden, oder kommentieren, aber klar ist wohl, das der Quasi-Standard "Web-API" jetzt aus dem Entwickler-Hinterzimmer die Bühne für die Internet-Zuschauer stürmt.

Was ist die Popover-API?

Mit der Popover-API schafft Google eine Schnittstelle, mit der "vorübergehende Elemente der Benutzeroberfläche (UI) erstellt werden können". Diese Popover-Elemente, können über den anderen Elementen der Benutzeroberfläche liegen. Soweit, so luftig. Beispiele? Die Popover-Api könnte "benutzerinteraktive Elemente wie Aktionsmenüs, Formularelementvorschläge, Content-Picker und Teaching UI" schicken. Oder Werbung? Oder den Consent zu den Cookies, oder anderen Technologien, den wir ja in den letzten Jahren sehr lieb gewonnen haben? Damit sich ein Aktionsmenü über die ganze Seite legen kann, führt die Popover-API ein neues Popover-Content-Attribut ein, mit dem jedes Element in der obersten Ebene angezeigt werden kann.

Chrome 114 beta - Chrome Developers

CSS headline balancing, CHIPS, the scrollend event, and popover.

Chrome Developers

Aber noch ist alles beta. Die nächsten Wochen und Monate werden zeigen, ob die Popover-API  Entwicklern einen standardisierten und flexiblen Mechanismus zum dynamischen Anzeigen von Inhalten bietet. Popover-Inhalte können entweder deklarativ über HTML-Attribute oder über JavaScript gesteuert werden.

Popover API - Web APIs | MDN

The Popover API provides developers with a standard, consistent, flexible mechanism for displaying popover content on top of other page content. Popover content can be controlled either declaratively using HTML attributes, or via JavaScript.

MDN Web Docs.logo-m{fill:var(--text-link)}

Like, you mean, Werbung?

Für Werbung, Daten-Consent und Umfragen ist das Overlay ja schon jetzt ein sehr gängiges Vorgehen, weil Inhalten, die quasi andere Inhalten sperren, um die Aufmerksamkeit des Benutzers auf bestimmte wichtige Informationen oder Aktionen zu lenken, eben diese Aufmerksamkeit immer haben. Bisher heißen die dann Overlays, Popups, Popovers oder Dialoge.

Sofern eine Einwilligung erforderlich ist, muss diese unmittelbar vor der erstmaligen Nutzung der zustimmungspflichtigen Funktionalität angefordert werden, zum Beispiel in Form eines Banners oder einer grafischen Schaltfläche. Bei der Gestaltung eines Einwilligungsbanners müssen folgende Anforderungen erfüllt sein (siehe auch Seite 28 ff. OH Telemedien 2021):

• Klar und verständlich: Die Gestaltung des Banners sollte klar und verständlich sein und keine irreführenden Titel enthalten. Überschriften sollten verwendet werden, die die Tragweite der Entscheidung erläutern, wie z.B. "Übermittlung Ihrer Nutzerdaten an Dritte zur Ermittlung Ihrer Interessen".
• Zweck der Verarbeitung: Der Zweck der Einwilligung muss klar angegeben werden, indem folgende Fragen beantwortet werden: Um welche personenbezogenen Daten handelt es sich? Was wird mit ihnen gemacht? Wer hat Zugriff auf die Daten? Werden personenbezogene Daten mit anderen Daten verknüpft? Wofür ist das?
• Datenschutzfreundliche Voreinstellung: Die Zustimmung darf nicht voreingestellt sein - eine Opt-in-Option ist erforderlich.
• Keine vorherige (Drittanbieter-)Verbindung: Daten dürfen erst übertragen werden, nachdem die Zustimmung des Benutzers erteilt wurde. Technisch muss sichergestellt sein, dass während der Anzeige des Consent-Banners keine anderen (Tracking-)Skripte ausgeführt und/oder unnötige Cookies im Browser abgelegt werden.
• Keine Manipulation (Nudging): Der Nutzer darf nicht unterschwellig zur Einwilligung beeinflusst werden. Schaltflächen/Buttons dürfen nicht durch Farbe, Größe oder Position manipuliert werden, um eine bestimmte Entscheidung zu beeinflussen.
• Leicht zugänglicher Widerspruch: Es muss bereits auf der ersten Ebene möglich sein, der Speicherung von Cookies oder dem Zugriff auf Informationen auf dem Endgerät zu widersprechen. Das Nichteinwilligen sollte so einfach sein wie das Einverständnis. Dem Nutzer muss eine einfache Möglichkeit geboten werden, der Verarbeitung seiner Daten zu widersprechen.
• Erreichbarkeit Datenschutzerklärung / Impressum: Der Zugang zu den Impressums- und Datenschutzhinweisen darf nicht behindert oder eingeschränkt werden, ohne dass der Nutzer zugestimmt hat.
• Freiwillige Einwilligung: Eine eindeutige Erklärung zur freiwilligen Einwilligung ist erforderlich, die auch darauf hinweist, dass die Einwilligung jederzeit widerrufen werden kann (gemäß Artikel 7 Absatz 3 Satz 3 der Datenschutz-Grundverordnung). Zum Beispiel: "Die Einwilligung ist freiwillig und keine Voraussetzung für die Nutzung dieser Website. Sie kann jederzeit durch [...] widerrufen werden".
• Widerrufsmöglichkeit: Die Informationen zur Einwilligungserklärung müssen klar angeben, wie der Widerruf erklärt werden kann. Der Widerruf muss ebenso einfach sein wie die Einwilligungserklärung selbst (gemäß Artikel 7 Absatz 3 Satz 4 der Datenschutz-Grundverordnung).

Damit die Einwilligung zur Verwendung von Cookies wirksam ist, müssen folgende Voraussetzungen erfüllt sein:

• Die Verarbeitung kann nur nach Zustimmung erfolgen.
• Die betroffene Person muss freiwillig und ohne Zwang einwilligen. Die Ablehnung sollte nicht schwieriger sein als die Zustimmung.
• Informationen zur Verarbeitung müssen transparent sein.
• Die Einwilligung muss von den betroffenen Personen aktiv erteilt werden.
• Die Einwilligung muss getrennt von anderen Erklärungen erfolgen.
• Nutzer müssen ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

In der Einwilligungserklärung (siehe Seite 9 ff. der Wegleitung) müssen die Speicherung/der Zugriff auf Informationen (nach TTDSG) und die Weiterverarbeitung (nach DSGVO) klar und deutlich beschrieben werden. Insbesondere muss klar und verständlich angegeben werden, an welche Empfänger personenbezogene Daten übermittelt werden, zu welchem Zweck dies geschieht und mit welchen weiteren personenbezogenen Daten sie angereichert werden. Wenn die Empfänger eigene Zwecke haben, müssen diese ebenfalls beschrieben werden.

Die Informationen über die Verwendung von Cookies und die Verarbeitung personenbezogener Daten müssen klar und sichtbar in einfacher Sprache präsentiert und nicht versteckt oder verschleiert werden. Eine Überschrift wie "Wir schätzen Ihre Privatsphäre" oder "Wir mögen Cookies" reicht nicht aus. Der Nutzer muss aktiv und freiwillig einwilligen (Opt-in). Die Einwilligung darf nicht vorselektiert werden, und Opt-out-Verfahren oder voreingestellte Kästchen reichen nicht aus.

Die Nichteinwilligung oder Verweigerung der Verwendung von Cookies sollte genauso einfach sein wie die Zustimmung. Der Nutzer muss aktiv und freiwillig einwilligen (Opt-in), die Einwilligung darf nicht vorselektiert werden. Opt-out-Verfahren oder voreingestellte Kästchen reichen nicht aus („Datenschutz durch Voreinstellungen“). Über alle Vorgänge muss ausreichend und transparent informiert werden (Art. 5 Abs. 1 Buchst. a, Art. 12 ff. DSGVO), damit Betroffene eine informierte und unabhängige

Es ist wichtig, dass alle Vorgänge transparent und ausreichend beschrieben werden, damit Betroffene informierte Entscheidungen treffen können (gemäß Art. 5 Abs. 1 Buchst. a und Art. 12 ff. DSGVO). Es reicht nicht aus, lediglich das Ergebnis der Verarbeitung zu nennen, wie beispielsweise das Einblenden von Werbung. Vielmehr muss die Datenverarbeitung selbst, wie die Erstellung von Profilen basierend auf der Internetnutzung, in verständlicher Form beschrieben werden.

Empfänger müssen einzeln oder nach Kategorien auswählbar sein und keine Daten dürfen erhoben werden, bevor der Nutzer aktiv eingewilligt hat. Die bloße Nutzung einer Website oder App gilt nicht als Einwilligung.

Eine Einwilligung ist nur freiwillig, wenn die betroffene Person tatsächlich eine Wahl hat und die Einwilligung ohne Unannehmlichkeiten verweigern kann. Wenn eine vertragliche Leistung an die Einwilligung in die Verarbeitung von Daten gebunden ist, die nicht für die Vertragsdurchführung erforderlich sind, ist die Einwilligung grundsätzlich ungültig.

Behörden und andere öffentliche Stellen können grundsätzlich keine wirksame Einwilligung einholen. Wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein offensichtliches Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, ist es unwahrscheinlich, dass die Einwilligung freiwillig erteilt wurde.

Bitte beachten Sie, dass dies unsere Meinung ist und keine Rechtsberatung darstellt. Es gibt keine genauen Anweisungen dazu, wie ein Banner aussehen sollte, und es hängt von der konkreten Verarbeitung ab, ob eine Zustimmung erforderlich ist. Wenn Sie unsicher sind, sollten Sie rechtlichen Rat einholen.

Für kommerzielle Webseiten ist die Datenverarbeitung jedoch unverzichtbar. Kunden erwarten zu Recht, dass ihre Daten sorgfältig und transparent behandeln werden. Deshalb ist es wichtig, Kunden zu erklären, welche Cookies zu welchem Zweck verwenden werden. Wir wissen, dass dies theoretisch einfach klingt, aber in der Praxis oft schwierig ist.

Was sind die Vorteile von serverseitigem Tracking?

Der offensichtliche Vorteil für den Anbieter des Telemediendienstes besteht darin, dass weder Cookies von Drittanbietern noch Serververbindungen von Drittanbietern erforderlich sind und somit keine direkte Verbindung zum Anbieter des Tracking-Dienstes besteht, einschließlich einer obligatorischen Übermittlung einer IP-Adresse der Daten Thema. Darüber hinaus hat der Anbieter des Telemediendienstes die Möglichkeit, die Datenübertragung und eine ggf. durchzuführende Re-Pseudonymisierung oder Anonymisierung selbst zu bestimmen und so die Risiken der Verarbeitung erheblich zu reduzieren. Eines der Hauptrisiken der direkten Einbindung von Tracking-Dienstleistern, nämlich das Tracking des Verhaltens von Personen auf Websites, ist mit serverseitigem Tracking und entsprechenden Schutzmaßnahmen wesentlich besser zu kontrollieren als mit herkömmlichen Tracking-Methoden.

Was sind die Nachteile von serverseitigem Tracking?

Für betroffene Personen besteht die Gefahr, dass serverseitige Verbindungen für den Nutzer nicht mehr einsehbar sind, wodurch der Verantwortliche diese auch bei Geheimhaltung und Transparenz der Datenverarbeitung durchführen könnte. Denkbar ist auch, dass der Verantwortliche zusätzliche Informationen (z. B. durch Hinzufügen zusätzlicher Informationen aus einem user_inaccount) an den Dritten übermittelt, die der Benutzer selbst nicht nachvollziehen kann. Für den Anbieter besteht das Risiko, dass die vom Drittanbieter bereitgestellte serverseitige Übertragungssoftware unklare Programmabläufe enthält, die auf dem Server ausgeführt werden.

Wenn die Nutzungsdaten vor der Übermittlung an einen Tracking-Dienstleister vollständig anonymisiert werden, kann diese Verarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. 1 Buchstabe f DSGVO übernommen werden. Dies bedeutet, dass eine Anwendung des TTDSG ausgeschlossen ist.

Das einfache Ersetzen von Kennungen durch andere wie Nutzerkennungen oder Hashes führt zu keiner Pseudonymisierung oder Anonymisierung. Wenn beispielsweise die Zugriffswege individualisiert werden und diese Individualisierung über eine Session hinausgeht, liegt auch keine Anonymisierung vor. Die Verwendung von Cookies oder Fingerabdrücken, z.B. durch Auslesen installierter Schriftarten über JavaScript, beeinflusst den Anwendungsbereich des TTDSG. In diesen Fällen ist der Anwendungsbereich offen.

Wenn identifizierende Merkmale verarbeitet oder an den Tracking-Dienstleister übermittelt werden, sind der Anwendungsbereich der DSGVO und die konkreten Risiken der Verarbeitung zu berücksichtigen. Es ist möglich, dass trotz aller getroffenen Maßnahmen nicht ausgeschlossen werden kann, dass ein Tracking-Dienstleister eigene Ressourcen und verfügbare Daten verwendet, um eine betroffene Person erneut zu identifizieren. Dieses Risiko ist aufgrund der teilweise riesigen Datenbanken und der hohen Marktdurchdringung der großen Tracking-Dienstleister nicht zu vernachlässigen.

Gemäß § 25 Absatz 1 Satz 1 TTDSG ist die Speicherung oder der Zugriff auf Informationen auf dem Endgerät des Nutzers nur mit ausdrücklicher, informierter, freiwilliger, aktiver und vorheriger Zustimmung des Nutzers zulässig. Dies gilt auch dann, wenn die auf dem Endgerät gespeicherten oder ausgelesenen Informationen nicht personenbezogen sind.

Es gibt jedoch Ausnahmen, in denen eine Reichweitenanalyse ohne Einwilligung möglich ist. Dazu zählen beispielsweise eine lokale Logfile-Analyse, die Vermeidung externer Dienste Dritter, eine sorgfältige Datensicherung und die Vermeidung der Zusammenführung von Nutzungsdaten.

Ein kreatives Beispiel zur Anwendung der TTDSG- und DSGVO-Anforderungen ist die Verwendung von Informationen wie der IP-Adresse und dem User-Agent, die der Browser automatisch beim Aufruf einer Website sendet. Da der Server keine Informationen als Benutzererkennung auf seinem Endgerät speichert oder darauf zugreift, sondern die Informationen ohne Zutun des Telemediendiensteanbieters übermittelt wurden, fällt dies nicht unter § 25 TTDSG. Allerdings sollte jede (zusätzliche) Verarbeitung nach DSGVO-Standards erfolgen.

Wenn der Server jedoch Werte in einer mobilen App ändert, zum Beispiel durch einen geänderten Useragent, ist dies ein "Zugriff" und die Voraussetzungen des § 25 TTDSG müssen erfüllt sein.

Bei der Verarbeitung personenbezogener Daten müssen die Anforderungen der DSGVO beachtet werden. Dabei sollte abgewogen werden, welche Rechtsgrundlage relevant ist, zum Beispiel ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Hierbei sollten die Schritte des Vorliegens eines berechtigten Interesses des Verantwortlichen oder eines Dritten, der Erforderlichkeit der Datenverarbeitung zur Wahrung dieses Interesses und der Abwägung der Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen berücksichtigt werden.

Für den Nutzer ist es nachteilig, dass er im Gegensatz zur Wiedererkennung über auf seinem Gerät gespeicherte Cookies die Wiedererkennungsfunktion auf seinem Gerät nicht mehr selbst löschen kann. Stattdessen muss er Funktionen zum Löschen der Wiedererkennungsfunktion auf dem Server des Diensteanbieters finden und nutzen.